jueves, 2 de julio de 2009

Los virus de "autorun"

He visto que en el foro hay un aumento de posts acerca de esta peste relativamente nueva, así que intentaré aclarar un pocoal respecto.

Un virus de autorrun es en general un programa (.exe) que se inicia automáticamente al insertar algún medio extraíble en una PC con Wondows. El mecanismo que usa para iniciarse es parte del funcionamiento normal de Windows para poder ejecutar por ejemplo programas de instalación al insertar un CD o DVD.

Cuando insertamos un medio extraible, Windows busca un archivo llamado "autorrun.inf", este es un archivo de texto que contiene el nombre de un archivo ejecutable y algunos otros datos. Si Windows encuentra ese archivo .inf, ejecutará automáticamente el .exe indicado dentro. Por esto el virus de autorrun es en general una pareja de archivos: autorrun.inf y elvirus.exe. Estos archivos normalmente estan ocultos (otra función que provee Windows) y pasan desapercibidos.

Si normalmente usan Windows en una cuenta de administrador, una vez iniciado el ejecutable malicioso se asegurará antes que nada el poder "vivir en nuestra PC", monitoreando e infectando los nuevos medios extraibles que insertemos. Este es su mecanismo de reproducción; la velocidad y promiscuidad de nuestros pendrives hacen muy exitosa esta estrategia. Claro que además de reproducirse, el virus tendrá alguna otra finalidad, en general el robo de datos personales, números de tarjetas de crédito, información bancaria, etc.

Pueden pensar que si borran esos archivos (ej. al formatear el pendrive) se libraran del virus, y esto es verdad pero si su PC ya fue infectada el pendrive se volverá a contagiar apenas terminado el formateo. Cabe mencionar que si la infección de la PC lleva algún tiempo, es de esperarse que TODOS los medios extraíbles que conectaron también estén infectados: teléfonos, cámaras, reproductores mp3 y otros, por lo tanto el riesgo de reinfección es bastante alto.

¿Que hacer al respecto? Lo primero y mas importante es contar con un buen antivirus instalado y actualizado en nuestra PC, este seguramente detendrá la mayoría de los intentos de infección.

Otra solución sencilla y muy recomendable (siempre complementando al antivirus) es desactivar el autorrun de nuestro sistema operativo. Existen varias técnicas mas o menos complicadas para lograr esto, pero por suerte hay aplicaciones que nos permiten hacer esto al toque de un botón. Una vez hecho esto, nuestro PC dejará de buscar y ejecutar los archivos autorrun.inf que vengan en medios extraíbles, evitando así la infección automática. Claro que podríamos infectarnos "manualmente" si nosotros mismos ejecutamos el .exe del virus, por esto, sean precavidos con cualquier archivo sospechoso que encuentren.

Otra idea ingeniosa y por ahora bastante efectiva es evitar que cuando conectamos unestro pendrive a un PC infectado, este grabe el archivo autorrun.inf. Esta técnica se llama "vacunación". Se puede lograr de varias maneras, pero la mas común es una manupulación mas o menos sofisticada del sistema de archivos del pendrive. Se escribe así nuestro propio autorrun.inf, pero es "dañado" a propósito de tal manera que hace imposible su remoción, cambio de nombre, sobreescritura. de esta forma el virus no podrá sobreescribirlo con su propio archivo de autoarranque. Aunque copie su ejecutable .exe este no contagiará (salvo que lo ejecutemos a propósito o por desuido). Existen varias aplicaciones que nos permiten "vacunar" nuestros pendrives y memorias.

Por mencionar alguna de estas aplicaciones: Panda USB Vaccine, Elipen, Stoprun, Usbdoctor, etc.

Hay algunos antivirus que pretenden especializarse en este nuevo nicho ecológico, como el MX One y otros. Personalmente no tengo claro su funcionamiento así que no puedo comentarles mas al respecto.

Sería muy interesante que otros miembros del foro aportaran también su experiencia con este tipo de pestes o sobre las contramedidas a seguir. Espero lo encontraran interesante.

Saludos.

FUENTE: http://forofix.com/7897-los-virus-de-autorun/